Facebook wirus.

[sherkan]

Witam. Mam problem z facebookowym wirusem Proszę o pomoc.
Troszkę czytałem na forum i doszedłem do tego żeby zrobić logi z OTL-a.
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Infekcja z Facebooka to pestka w porównaniu do Bootkita ZeroAcces, którego skutki widać w logu.
Bootkita nie widzę w logu, być może został już usunięty, ale musimy to dokładnie sprawdzić:
1) Daj log z Dostępne tylko dla zarejestrowanych użytkowników

2) Daj log z TDSSKiller >http://www.hotfix.pl/instrukcja-obslugi-tdsskiller-a341.htm

3) Daj log z ComboFixa >http://www.hotfix.pl/articles.php?article_id=41

4) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2011-10-29 11:11:11 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-10-29 11:11:11 | 000,000,027 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-10-29 11:11:10 | 001,010,407 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-10-28 19:23:58 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-10-28 19:23:57 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-10-28 19:23:56 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-10-28 19:23:55 | 000,000,111 | ---- | C] () -- C:\WINDOWS\info1
[2011-10-28 19:23:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2011-10-28 19:23:17 | 000,257,024 | ---- | C] () -- C:\WINDOWS\sysdriver32_.exe
[2011-10-28 19:23:03 | 000,262,656 | ---- | C] () -- C:\WINDOWS\sysdriver32.exe
[2011-10-28 19:22:35 | 001,201,152 | ---- | C] (Cronosoft) -- C:\WINDOWS\services32.exe
[2011-10-29 11:11:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-10-29 11:11:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-10-29 11:11:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-10-28 19:39:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-10-28 19:38:00 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-9-0
[2011-11-01 19:12:16 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-8-0
[2011-11-01 19:08:43 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011-11-06 12:17:01 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
O33 - MountPoints2\{4ebb5e7e-d225-11de-8f57-0080c6e8edb7}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
O33 - MountPoints2\{4ebb5e7e-d225-11de-8f57-0080c6e8edb7}\Shell\Open(&0)\command - "" = Recycled\ctfmon.exe
O33 - MountPoints2\{6e913e9a-f1ac-11de-8f9c-0080c6e8edb7}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
O31 - SafeBoot: AlternateShell - services32.exe
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe (Cronosoft)
O2 - BHO: (Ask Search Assistant BHO) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found
O3 - HKU\S-1-5-21-1482476501-1004336348-725345543-1003\..\Toolbar\ShellBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found
O3 - HKU\S-1-5-21-1482476501-1004336348-725345543-1003\..\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found
O4 - HKLM..\Run: [186772.exe] "C:\WINDOWS\TEMP\186772.exe" File not found
O4 - HKLM..\Run: [2682447.exe] C:\WINDOWS\TEMP\2682447.exe ()
O4 - HKLM..\Run: [6548995.exe] C:\WINDOWS\TEMP\6548995.exe ()
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found
O4 - HKLM..\Run: [NWEReboot] File not found
O4 - HKLM..\Run: [nwiz] nwiz.exe /install File not found
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-8-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico1] C:\WINDOWS\update.tray-9-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico2] C:\WINDOWS\update.tray-7-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
IE - HKU\S-1-5-21-1482476501-1004336348-725345543-1003\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)
SRV - File not found [Auto | Stopped] -- -- (wxpdrivers)
SRV - File not found [Auto | Stopped] -- -- (srviecheck)
SRV - File not found [Auto | Stopped] -- -- (srvbtcclient)
SRV - [2011-11-02 20:01:38 | 000,262,656 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
MOD - [2011-11-02 20:01:38 | 000,262,656 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\WINDOWS\update.tray-7-0\svchost.exe"=-
"c:\WINDOWS\update.tray-9-0\svchost.exe"=-
"c:\WINDOWS\update.2\svchost.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[sherkan]

witam ponownie.
log z Webroot AntiZeroAccess:
Dostępne tylko dla zarejestrowanych użytkowników

log z TDSSKiller:
Dostępne tylko dla zarejestrowanych użytkowników

log z ComboFixa:
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Jednak ZeroAcces był aktywny!

Wykonaj jeszcze pozostałe zalecenia z mojego poprzedniego postu

[sherkan]

Raporty z OTL-a z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników

ponowne skanowanie OTL-a:
Dostępne tylko dla zarejestrowanych użytkowników

pozdrawiam.

[filutka78]

Powtórz usuwanie Scriptem (OTL), bo nic się nie wykonało.

Dobra wiadomość to taka, że teraz już po ZeroAcces nie ma żadnego śladu w logu OTL, a więc AntiZeroAcces oraz ComboFix załatwiły tego Bootkita!

F.

[sherkan]

Witam ponownie. Wczoraj musiałem już zniknąć.
Zrobiłem skanowanie scriptem jeszcze raz i teraz prawidłowo bo wczoraj dałem skanuj zamiast wykonaj script ;p
log: Dostępne tylko dla zarejestrowanych użytkowników

Zauważyłem że facebook zaczął u mnie działać

[filutka78]

pokaż jeszcze nowy log z OTL

[sherkan]

o to nowy log:
Dostępne tylko dla zarejestrowanych użytkowników
Musze znikać. Mam nadzieję że już będzie ok, jak nie, to proszę o instrukcje a późnym wieczorem wykonam.
pozdrawiam

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O4 - HKLM..\Run: [5022474.exe] "C:\DOCUME~1\KRZYSI~1.KRZ\USTAWI~1\Temp\5022474.exe" File not found
O4 - HKLM..\Run: [5519370.exe] "C:\WINDOWS\TEMP\5519370.exe" File not found
O4 - HKLM..\Run: [724803.exe] "C:\WINDOWS\TEMP\724803.exe" File not found
O4 - HKLM..\Run: [9205248.exe] "C:\DOCUME~1\KRZYSI~1.KRZ\USTAWI~1\Temp\9205248.exe" File not found
2011-11-09 16:16:04 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj > MBAM
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

F.

[sherkan]

No i jestem ponownie.
Log z Scriptu:
Dostępne tylko dla zarejestrowanych użytkowników

log z skanowania OTL-a:
Dostępne tylko dla zarejestrowanych użytkowników

-- 11 lis 2011, 00:30 --

log z usuwania mbam-em:
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Wg mnie - jest prawie OK.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2011-11-09 16:16:32 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts

:Commands
[Reboot]

Kliknij w Wykonaj Script.

Potem:
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednocześnie zniknie ComboFix.

To wszystko.

F.

[sherkan]

Bardzo dziękuje za pomoc
Pozdrawiam i życzę miłego weekendu